Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de nombreuses entreprises ? Dans ce cadre, vous êtes sûrement amené à collecter et traiter des données personnelles sur vos clients, au même titre que ces derniers sont susceptibles de collecter des données personnelles sur leurs prospects, salariés ou propres clients, lorsqu’ils utilisent votre solution SaaS.
Or, depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), tout organisme qui collecte et traite des données personnelles sur le territoire européen ou dont l’activité cible des personnes se trouvant sur le territoire européen se doit d’être en conformité avec ce règlement. Cette mise en conformité impose à l’éditeur Saas le respect d’un certain nombre d’obligations, mais à quel titre ? En tant que responsable de traitement ou bien en tant que sous-traitant ? Quelle est la différence entre ces deux statuts ? Quel est l’impact direct sur la nature et le contenu de vos obligations contractuelles ?
Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte le sujet pour vous.
En quoi l’éditeur SaaS est-il impacté par le RGPD ?
En tant que prestataire et éditeur SaaS, vous avez certainement déjà entendu parler du RGPD.
Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD a été conçu par les instances européennes pour moderniser et renforcer le cadre juridique en matière de protection des données à caractère personnel. Plus précisément, il a permis d’adapter la réglementation sur la protection des données personnelles aux récentes évolutions numériques et technologiques.
Le RGPD poursuit trois objectifs principaux :
- Uniformiser la réglementation en matière de protection des données personnelles au niveau européen ;
- Responsabiliser les entreprises qui collectent et traitent des données personnelles, c’est-à-dire aussi bien les responsables de traitement que les sous-traitants ;
- Renforcer les droits des personnes dont les données personnelles sont collectées et traitées.
Or, comme indiqué précédemment, en tant que fournisseur de services SaaS, vous êtes amené à traiter des données à caractère personnel, c’est à dire notamment à collecter, enregistrer ou conserver les données de vos entreprises clientes. Par exemple, lorsque que vous identifiez les utilisateurs de vos clients afin de leur permettre de se connecter et d’utiliser votre solution SaaS, vous allez collecter des données personnelles. Il peut s’agir ici d’un nom, d’une adresse mail ou encore d’un identifiant de connexion.
Par ailleurs, votre solution SaaS permettra le plus souvent également aux clients utilisateurs de cette solution de stocker ou générer leurs propres données, pouvant comprendre à cet égard également des données personnelles.
Dans ces deux situations, des “traitements” de données personnelles sont donc opérés via votre solution SaaS. Dans ce cadre, en tant qu’éditeur SaaS, vous êtes donc tenu de vous conformer au RGPD. Mais à quel titre traitez-vous ces données personnelles ? Quel est votre statut au regard du RGPD ? Et quel impact sur vos obligations contractuelles ?
Le statut RGPD de l’éditeur SaaS : responsable de traitement, sous-traitant ou les deux ?
A l’occasion des services qu’il rend à son client, le prestataire SaaS peut revêtir deux casquettes au titre du RGPD : celle de responsable de traitement et celle de sous-traitant. En réalité, la qualification retenue va directement dépendre de la finalité du traitement.
Le statut de sous-traitant
En tant qu’éditeur de logiciel SaaS, vous pouvez tout d’abord être qualifié de sous-traitant.
C’est le cas lorsque c’est votre client, c’est-à-dire l’entreprise pour laquelle vous intervenez, qui traite et collecte au premier chef les données personnelles sur ses propres clients, ses prospects ou ses salariés via votre solution. Quant à vous, en tant qu’éditeur Saas, vous traitez, certes ces données personnelles, mais pour le compte de votre client.
Dans ce cas de figure, votre client est responsable de traitement, tandis que vous êtes sous-traitant agissant pour le compte du responsable de traitement.
Prenons l’exemple d’une solution SaaS de gestion de paie. L’éditeur SaaS met à disposition un support de paye pour le compte d’une entreprise en mode SaaS. Tout comme cette entreprise cliente, cet éditeur sera amené à traiter des données personnelles sur les salariés de cette entreprise. Ici, la finalité du traitement consiste pour l’employeur à payer ses salariés. C’est donc lui qui est responsable de traitement car la finalité du traitement lui est propre. Quant à l’éditeur, il met simplement à disposition un outil SaaS permettant effectivement à cette entreprise cliente de payer ses salariés.
Le RGPD considère donc ici que l’éditeur SaaS agit en tant que sous-traitant du client responsable de traitement.
Toutefois, les traitements de données personnelles réalisés à partir d’un outil Saas ont plusieurs finalités. Dans notre exemple, le logiciel Saas de gestion de paie peut avoir d’autres finalités que le paiement des salariés, ce qui peut, dans certains cas, remettre en question le statut de sous-traitant de l’éditeur Saas.
Le statut de responsable de traitement
Le responsable de traitement est celui qui détermine les finalités et les moyens mis en oeuvre afin de traiter des données personnelles. En clair, c’est lui qui fixe l’objectif du traitement et la façon de le réaliser.
Il doit à cet égard mettre en place un registre des traitements, appliquer les différentes mesures permettant de sécuriser les données, coopérer avec l’autorité de contrôle, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL) et garantir les droits des personnes faisant l’objet des traitements.
En fonction de la finalité du traitement concerné, le prestataire Saas peut à cet égard être qualifié de responsable de traitement.
Par exemple, l’éditeur Saas traite des données personnelles au titre de la connexion des utilisateurs au logiciel SaaS (login, mot de passe, etc) ou du support à l’utilisation du logiciel. Dans ce cas de figure, vous êtes responsable de traitement et non plus sous-traitant.
Vous l’aurez compris, la qualification dépend donc toujours de la finalité du traitement concerné.
Le statut de co-responsable de traitement
Le RGPD prévoit enfin un statut intermédiaire de “co-responsable” de traitement. Ce statut peut en effet être envisagé lorsque deux responsables de traitement déterminent conjointement la finalité de traitement concernée.
Dans le cadre du SaaS, on pourrait par exemple envisager une situation ou un client a participé au co-développement de la solution SaaS et pourrait donc assurer également le support de l’outil auprès des utilisateurs de manière conjointe avec l’éditeur SaaS. Dans un tel cadre, l’éditeur et le client seraient alors tous deux susceptibles de collecter les données personnelles des utilisateurs afin de fournir les prestations de support (par exemple via un support de premier niveau fourni par le client et de second niveau fourni par l’éditeur). Ils agissent donc ici en tant que co-responsables de traitement.
Cette situation de co-responsables de traitements ne concerne donc in fine que des cas assez isolés dans le cadre du SaaS.
Quelles sont les obligations contractuelles de l’éditeur SaaS en application du RGPD ?
La commercialisation d’un logiciel SaaS auprès de vos clients entraîne en premier lieu la nécessité d’avoir un contrat SaaS en place. Le contrat SaaS permet de formaliser les relations commerciales entre le client et le prestataire SaaS. De manière générale, le contrat SaaS doit contenir certaines clauses essentielles comme :
- Les modalités d’abonnement ;
- Les conditions financières ;
- La maintenance du logiciel ;
- La performance du service ;
- La disponibilité du service ;
- La sécurité du service et des données.
Pour aller plus loin : pour bien définir vos engagements contractuels de disponibilité et continuité de vos services, découvrez l'article de Me Znaty : SLA informatique et PCA, documents indispensables aux offres Saas.
Pour rédiger votre contrat SaaS, il est recommandé de faire appel à un professionnel. En effet, le mode SaaS est un domaine très spécifique et la réglementation, notamment en matière de protection des données personnelles, ne cesse d’évoluer.
Avant d’être en conformité avec le RGPD, il convient en effet de mettre en place certains documents contractuels additionnels à votre contrat SaaS, dont la nature varie ici également sensiblement selon que vous agissez en tant que responsable de traitement ou bien sous-traitant.
En tant que sous-traitant : le “data processing agreement”
Lorsque que vous agissez en tant que sous-traitant, le RGPD vous impose d’annexer à votre contrat SaaS ce qu’on appelle un “Data Processing Agreement” (DPA) en anglais ou accord de sous-traitance de traitement de données personnelles en français.
Il s’agit de l’accord de sous-traitance conclu entre le client et le prestataire SaaS conformément à l’article 28 du RGPD. Le DPA a pour objectif de définir les conditions dans lesquelles vous traitez, en qualité de sous-traitant et en suivant les instructions données par votre client, ses données personnelles.
Conformément au RGPD, le DPA doit contenir des éléments obligatoires tels que :
- L’identification des traitements sous-traités ;
- Les obligations du sous-traitant ;
- Les obligations du client responsable de traitement ;
- Les mesures de sécurité mises en place ;
- La localisation des données personnelles ;
- L’identification des transferts de données personnelles ;
- L’identification et les procédures d’acceptation des sous-traitants du sous-traitant ;
- Les obligations de notification des failles de sécurité et violation de données ;
- Les modalités de restitution ou suppression des données personnelles.
Là encore, il est fortement recommandé d’être accompagné par un professionnel pour établir votre DPA. Le DPA est par ailleurs un document certes obligatoire en vertu de la loi mais qui doit être négocié. En acceptant les DPA proposés par vos clients sans les négocier, vous risquez de vous exposer à des obligations et responsabilités venant s’ajouter aux obligations imposées par le RGPD.
En tant que responsable de traitement
Si vous avez le statut de responsable de traitement, il vous faut établir, en plus du contrat SaaS, un document visant à transmettre aux personnes concernées l’ensemble des informations exigées par le RGPD. Le plus souvent, ces informations seront transmises par l’éditeur SaaS via une politique de confidentialité.
Il s’agit du document qui informe les utilisateurs du logiciel SaaS de la manière dont vous traitez les données personnelles et qui vous identifie en tant que responsable de traitement.
Il convient notamment d’indiquer dans votre politique de confidentialité :
- L’identité et les moyens de contacter le responsable de traitement ;
- La nature des données personnelles qui sont collectées ;
- La durée de conservation des données personnelles ;
- Les finalités de collecte des données personnelles ;
- Les bases juridiques permettant de collecter les données personnelles (ex: consentement ou exécution du contrat) ;
- L’identité des destinataires des données personnelles ;
- La manière dont est assurée la sécurité des données personnelles ;
- Les droits des utilisateurs et autres personnes concernées par les traitements du logiciel SaaS (droit d’accès, droit de rectification, droit d’opposition, droit à l’oubli, droit à la portabilité, etc).
Il est important d’établir une politique de confidentialité complète et conforme au RGPD. Seul un professionnel du droit pourra vous y aider.
En tant que co-responsable de traitement
Si vous avez le statut de co-responsable de traitement, il vous faut établir, en plus du contrat SaaS, un accord de co-responsable de traitement avec votre client.
L’article 26 du RGPD implique ici de détailler au sein de cet accord les rôles respectifs des deux responsables conjoints de traitement vis-à-vis des personnes concernées par les traitements.
Toutefois, comme évoqué plus haut, cette situation de co-responsables de traitement est finalement assez rare en matière de contrat SaaS.
Vous l’aurez compris, la réglementation en matière de protection des données personnelles a un impact direct sur les contrats SaaS. Elle met à la charge du prestataire SaaS de nombreuses obligations, aussi bien en sa qualité de responsable de traitement que de sous-traitant, voir même en tant que co-responsable de traitement.
Avocat spécialisé en droit des nouvelles technologies, je suis à même de vous éclairer sur le cadre juridique des contrats SaaS et de vous aider à comprendre vos obligations. Je peux également vous assister dans la rédaction de la documentation nécessaire (contrat SaaS, DPA, politique de confidentialité,...).
Les commentaires (1)
Je veux être contacter par un avocat spécialisé en droit des nouvelles technologies pour la contrat SaaS, DPA, politique de confidentialité.
Bonjour, merci pour votre commentaire ! Vous pouvez prendre un rendez-vous avec nos équipes en cliquant sur ce lien. Excellente journée !